Основные угрозы безопасности при загрузке файлов и способы их предотвращения
Загрузка файлов необходима в разных ситуациях и для разных целей. Вы используете загрузку сервисов, приложений, сайтов. Загрузка файлов - это основная функция систем управления контентом (CMS), сайтов, приложений для обмена сообщениями и тп.
Однако неограниченная загрузка файлов создает дополнительные возможности атаки для киберпреступников. В этой статье вы узнаете о семи критических проблемах безопасности загрузки файлов и девяти методах этого процесса.
Риски при загрузке файлов на ваш сайт.
Перезапись файлов
Вы можете непреднамеренно перезаписать существующий файл при загрузке нового файла с тем же именем и расширением.
Злоумышленники могут использовать новый файл для запуска атаки на стороне сервера, если перезапись файла была критической. Атаки на стороне сервера могут вывести из строя сайт или позволить злоумышленникам загрузить больше вредоносных файлов, изменив настройки безопасности сервера.
Слежка
При атаках слежения злоумышленник прослушивает трафик между двумя машинами в сети. Облачное хранилище очень уязвимо к атакам слежения, поскольку файлы хранятся и передаются через Интернет. Хакеры могут даже получить доступ к зашифрованным файлам в облаке.
Загрузка очень больших файлов.
Чрезвычайно большие файлы могут привести к множественным сбоям в работе приложений. Например, злоумышленники могут выполнять атаки типа «отказ в обслуживании» (DDoS) или атаки ботнетов, которые одновременно загружают множество больших файлов. В результате система выходит из строя, потому что у нее нет возможности одновременно выполнять допустимые операции и загружать большие файлы.
Внесение расширений файлов в черный список
Цель внесения расширений файлов в черный список - отслеживать потенциально опасные расширения. Во время загрузки файла система проверяет, нет ли расширения файла в черном списке.
Файл отклоняется, если он есть в списке. К сожалению, вы не можете перечислить все возможные расширения в черном списке. Злоумышленники могут использовать расширение, которого нет в списке, чтобы ввести систему безопасности в заблуждение.
Проверка универсальных расширений электронной почты (MIME)
MIME - это стандарт, который расширяет ограниченные возможности электронной почты, позволяя вставлять изображения, звуки и текст в сообщение. Злоумышленники могут обойти безопасность проверки типа MIME, чтобы проверить содержимое определенного файла. Например, сниффинг MIME - это метод определения формата файла. Хакеры могут использовать сниффинг MIME для реализации атак межсайтового скриптинга (XSS).
Вредоносный контент
Загруженное содержимое файла может включать вредоносные программы, эксплойты и вредоносные сценарии. Злоумышленники могут использовать вредоносный контент, чтобы изменить обычное поведение приложения. Например, хакеры могут украсть ключ доступа к системе, загрузив определенное вредоносное ПО.
Уязвимости файловых метаданных
Неправильный путь или имя файла может заставить приложение скопировать файл в неправильное место. Это может привести к неожиданным изменениям файла и ввести в заблуждение. Например, злоумышленники могут перезаписать важные файлы конфигурации системы, добавив управляющие символы в имя файла. Они также могут изменить настройки системы безопасности, чтобы загрузить больше вредоносных файлов.
Как предотвратить уязвимости при загрузке файлов
Следуйте этим советам, чтобы предотвратить потенциальные атаки на вашу систему загрузки файлов.
Обновите вашу систему
Многие старые платформы управления контентом имеют устаревшую защиту от вирусов. Устаревшие антивирусы ищут вредоносные файлы по устаревшим критериям. В результате устаревшая защита от вирусов не может остановить проникновение новых угроз и вирусов в ваши системы.
Проверьте типы файлов.
Операционные системы и пользователи обычно определяют тип файла по его расширению. Каждый тип файла обычно имеет несколько соответствующих расширений. Злоумышленники могут обойти системы безопасности и обмануть пользователей и операционные системы, изменив расширение файла.
Например, злоумышленники могут переименовать вредоносный файл .exe в файл .docx, выглядящий вполне корректно. Вы должны проверить тип загружаемого файла, чтобы предотвратить эти атаки.
Аутентифицируйте пользователей.
Методы аутентификации пользователя подтверждают личность пользователя, пытающегося получить доступ к частной информации. Вам необходимо реализовать надежные протоколы аутентификации пользователей, такие как двухфакторная аутентификация (2FA), чтобы предотвратить потенциальные угрозы.
Двухфакторная аутентификация - это двухэтапный процесс аутентификации. Процесс включает имя пользователя и пароль с мобильным или физическим токеном для дополнительной безопасности. Последовательность нескольких факторов аутентификации затрудняет доступ потенциального злоумышленника.
Удалите возможные встроенные угрозы.
Злоумышленники могут встраивать угрозы в сценарии и макросы файлов, таких как PDF, Microsoft Office и изображения. Обычное антивирусное ПО обычно не может обнаружить эти угрозы. Вы должны убедиться, что ваши файлы не содержат никаких скрытых угроз, используя такие функции, как Content Disarm and Reconstruction (CDR).
Произведите случайное изменение названий загруженных файлов.
Произвольно изменяйте имена загружаемых файлов, чтобы злоумышленники не могли получить доступ к загружаемым ими вредоносным файлам. Системы восстановления контента могут рандомизировать имена файлов, добавляя случайный суффикс к каждому имени файла.
Поместите угрозы в карантин и удалите вирусы.
Вирусы, проникшие в вашу систему, могут впоследствии стать угрозой для всей системы данных. Лучший способ предотвратить дальнейшее повреждение файла вирусами и угрозами - это поместить в карантин и удалить их из вашей системы.
Храните файлы во внешнем каталоге.
Загрузите файлы во внешние каталоги и храните их вне корневого каталога. Этот метод предотвращает атаки злоумышленников с использованием вредоносных файлов через URL-адрес веб-сайта.
Используйте простые сообщения об ошибках.
Сообщения об ошибках обычно показывают пути к каталогам или параметры конфигурации сервера, чтобы дать пользователю больше контекста. Злоумышленники могут использовать эту информацию для эксплуатации уязвимостей загрузки файлов. Поэтому вы должны сделать сообщение об ошибке как можно проще.
Компании должны инвестировать в безопасность загрузки файлов, чтобы предотвратить дорогостоящие утечки данных, которые могут нанести серьезный ущерб любой организации. Упомянутые выше советы могут помочь вам предотвратить потенциальные угрозы и управлять безопасностью загрузки файлов. Перевод с блога wpmayor.com.